Escenarios de Azure Disk Encryption en máquinas virtuales Windows

Se aplica a: ✔️ máquinas virtuales Windows ✔️ conjuntos de escalado flexibles

Azure Disk Encryption para máquinas virtuales Windows usa la característica BitLocker de Windows para proporcionar el cifrado de disco completo del disco de sistema operativo y los discos de datos. Además, proporciona cifrado del disco temporal cuando el parámetro VolumeType es All.

Azure Disk Encryption se integra con Azure Key Vault para ayudarle a controlar y administrar las claves y los secreto de cifrado de discos. Para obtener información general del servicio, consulte Azure Disk Encryption para máquinas virtuales Windows.

Requisitos previos

El cifrado de disco solo se puede aplicar a las máquinas virtuales que tengan tamaños y sistemas operativos compatibles. También es preciso que se cumplan los siguientes requisitos previos:

• Requisitos de red
• Requisitos de la directiva de grupo
• Requisitos de almacenamiento de la clave de cifrado

Restricciones

Si ya ha usado Azure Disk Encryption con Microsoft Entra ID para cifrar una máquina virtual, debe seguir usando esta opción para cifrarla. Consulte Azure Disk Encryption con Microsoft Entra ID (versión anterior) para obtener más información.

Es preciso hacer una instantánea o crear una copia de seguridad antes de cifrar los discos. Las copias de seguridad garantizan que, en caso de un error inesperado durante el cifrado, sea posible una opción de recuperación. Las máquinas virtuales con discos administrados requieren una copia de seguridad antes del cifrado. Una vez realizada la copia de seguridad, puede usar el cmdlet Set-AzVMDiskEncryptionExtension para cifrar los discos administrados mediante la especificación del parámetro -skipVmBackup. Para más información sobre cómo realizar la copia de seguridad y la restauración de máquinas virtuales cifradas, consulte Copia de seguridad y restauración de máquinas virtuales de Azure cifradas.

Cifrar o deshabilitar el cifrado puede provocar el reinicio de una máquina virtual.

Azure Disk Encryption no funciona para los siguientes escenarios, características ni tecnologías:

• VM de cifrado de nivel básico o VM creadas a través del método de creación de VM clásico.
• VM de cifrado configuradas con sistemas RAID basados en software.
• VM de cifrado configuradas con espacios de almacenamiento directo (S2D), o bien versiones de Windows Server anteriores a 2016 configuradas con espacios de almacenamiento de Windows.
• Integración con un sistema de administración de claves local.
• Azure Files (sistema de archivos compartido).
• Network File System (NFS).
• Volúmenes dinámicos.
• Contenedores de Windows Server, que crean volúmenes dinámicos para cada contenedor.
• Discos de sistema operativo efímero.
• Discos iSCSI.
• Cifrado de sistemas de archivos compartidos o distribuidos como DFS, GFS, DRDB, and CephFS (sin limitarse solo a estos).
• Traslado de una máquina virtual cifrada a otra suscripción o región.
• Creación de una imagen o instantánea de una máquina virtual cifrada y su uso para implementar máquinas virtuales adicionales.
• Máquinas virtuales de la serie M con discos de Acelerador de escritura.
• Aplicación de ADE a una máquina virtual que tiene discos cifrados con el Cifrado en el host o cifrado del lado servidor con claves administradas por el cliente (SSE + CMK). La aplicación de SSE + CMK a un disco de datos o agregar un disco de datos con SSE + CMK configurado en una máquina virtual cifrada con ADE tampoco es un escenario admitido.
• Migración de una máquina virtual cifrada con ADE, o que alguna vez haya estado cifrada con ADE, al Cifrado en el host o cifrado del lado servidor con claves administradas por el cliente.
• Cifrado de máquinas virtuales en clústeres de conmutación por error.
• Cifrado de discos Ultra de Azure.
• Cifrado de discos SSD prémium v2.
• Cifrado de máquinas virtuales en suscripciones que tienen habilitada la directiva Secrets should have the specified maximum validity period con el efecto DENY.
• Cifrado de máquinas virtuales en suscripciones que tienen habilitada la directiva Key Vault secrets should have an expiration date con el efecto DENY

Instalación de herramientas y conexión a Azure

Azure Disk Encryption se puede habilitar y administrar mediante la CLI de Azure y Azure PowerShell. Para ello, es preciso instalar las herramientas localmente y conectarse a la suscripción de Azure.

Azure CLI

La CLI de Azure 2.0 es una herramienta de línea de comandos para administrar recursos de Azure. La CLI está diseñada para flexibilizar los datos de consulta, admitir operaciones de larga duración (como los procesos sin bloqueo) y facilitar la realización de scripts. Para instalarla localmente, siga los pasos que puede encontrar en Instalación de la CLI de Azure.

Para iniciar sesión en su cuenta de Azure con la CLI de Azure, use el comando az login.

az login

Si quiere seleccionar un inquilino con el que iniciar sesión, use:

az login --tenant <tenant>

Si tiene varias suscripciones y quiere especificar una en concreto, use az account list para obtener la lista de suscripciones y az account set para especificar cuál.

az account list
az account set --subscription "<subscription name or ID>"

Para más información, consulte Service Fabric y CLI de Azure 2.0.

Azure PowerShell

El módulo az de Azure PowerShell ofrece un conjunto de cmdlets que usan el modelo de Azure Resource Manager para administrar los recursos de Azure. Se puede usar en el explorador con Azure Cloud Shell, o bien se puede instalar en una máquina local, para lo que hay que seguir las instrucciones de Instalación del módulo de Azure PowerShell.

Si ya lo tiene instalado localmente, asegúrese de que usa la versión más reciente de la versión del SDK de Azure PowerShell para configurar Azure Disk Encryption. Descargue la versión más reciente de Azure PowerShell.

Para iniciar sesión en una cuenta de Azure con Azure PowerShell, utilice el cmdlet Connect-AzAccount.

Connect-AzAccount

Si tiene varias suscripciones y desea especificar una de ellas, use el cmdlet Get-AzSubscription para enumerarlas y, después, el cmdlet Set-AzContext:

Set-AzContext -Subscription <SubscriptionId>

La ejecución del cmdlet Get-AzContext verificará que se ha seleccionado la suscripción correcta.

Para confirmar que están instalados los cmdlets de Azure Disk Encryption, use el cmdlet Get-command:

Get-command *diskencryption*

Para más información, consulte Introducción a los cmdlets de Azure PowerShell.

Habilitación del cifrado en una máquina virtual Windows existente o en ejecución

En este escenario, puede habilitar el cifrado mediante la plantilla de Resource Manager, los cmdlets de PowerShell o los comandos de la CLI. Si necesita información de esquema para la extensión de máquina virtual, consulte el artículo sobre la extensión de Azure Disk Encryption para Windows.

Habilitación del cifrado en máquinas virtuales existentes o en ejecución con Azure PowerShell

Use el cmdlet Set-AzVMDiskEncryptionExtension para habilitar el cifrado en una máquina virtual IaaS en ejecución en Azure.

• Cifrado de una máquina virtual en ejecución: el siguiente script inicializa las variables y ejecuta el cmdlet Set-AzVMDiskEncryptionExtension. Ya se deben haber satisfecho los requisitos previos de crear el grupo de recursos, la máquina virtual y el almacén de claves. Reemplace MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM y MySecureVault por los valores deseados.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• Cifrado de una máquina virtual en ejecución mediante KEK:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Nota

  La sintaxis del valor del parámetro disk-encryption-keyvault es la cadena de identificador completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La sintaxis del valor del parámetro key-encryption-key es el URI completo de la KEK como se muestra en: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Comprobar que los discos están cifrados: para comprobar el estado de cifrado de una máquina virtual de IaaS, use el cmdlet Get-AzVmDiskEncryptionStatus.

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Para deshabilitar el cifrado, consulte Deshabilitación del cifrado y eliminación de la extensión de cifrado.

Habilitación del cifrado en máquinas virtuales existentes o en ejecución con la CLI de Azure

Use el comando az vm encryption enable para habilitar el cifrado en una máquina virtual IaaS en ejecución en Azure.

• Cifrado de una máquina virtual en ejecución:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Cifrado de una máquina virtual en ejecución mediante KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Nota

  La sintaxis del valor del parámetro disk-encryption-keyvault es la cadena de identificador completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La sintaxis del valor del parámetro key-encryption-key es el URI completo de la KEK como se muestra en: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Comprobar que los discos están cifrados: para comprobar el estado de cifrado de una máquina virtual IaaS, use el comando az vm encryption show.

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Para deshabilitar el cifrado, consulte Deshabilitación del cifrado y eliminación de la extensión de cifrado.

Uso de la plantilla de Resource Manager

Puede habilitar el cifrado de disco en máquinas virtuales IaaS de Windows existentes o en ejecución en Azure mediante la plantilla de Resource Manager para cifrar una máquina virtual Windows en ejecución.

1. En la plantilla de inicio rápido de Azure, haga clic en Deploy to Azure (Implementar en Azure).

2. Seleccione la suscripción, el grupo de recursos, la ubicación, la configuración, los términos legales y el contrato. Haga clic en Comprar para habilitar el cifrado en la máquina virtual IaaS existente o en ejecución.

En la tabla siguiente figuran los parámetros de la plantilla de Resource Manager para máquinas virtuales existentes o en ejecución:

Parámetro	Descripción
vmName	Nombre de la máquina virtual para ejecutar la operación de cifrado.
keyVaultName	Nombre del almacén de claves en el que se que debe cargar la clave de BitLocker. Puede obtenerlo mediante el cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname o el comando de la CLI de Azure az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup	Nombre del grupo de recursos que contiene el almacén de claves
keyEncryptionKeyURL	La dirección URL de la clave de cifrado de claves con el formato https://<nombreDelAlmacénDeClaves>.vault.azure.net/key/<nombreDeClave>. Si no desea usar una KEK, deje este campo en blanco.
volumeType	Tipo de volumen en que se realiza la operación de cifrado. Los valores válidos son SO, Datos y Todo.
forceUpdateTag	Cada vez que la operación tenga que ejecutarse, pase un valor único como GUID.
resizeOSDisk	Si se debería cambiar el tamaño de la partición del sistema operativo para ocupar el VHD del sistema operativo completo antes de dividir el volumen del sistema.
ubicación	Ubicación para todos los recursos.

Habilitación del cifrado en discos de NVMe para VM Lsv2

En este escenario se describe cómo habilitar Azure Disk Encryption en discos NVMe para VM de la serie Lsv2. La serie Lsv2 incluye almacenamiento local NVMe. Los discos NVMe locales son efímeros y los datos se perderán en estos discos si se detiene o desasigna la VM (Consulte: Serie Lsv2).

Para habilitar el cifrado en discos NVMe:

1. Inicialice los discos NVMe y cree volúmenes NTFS.
2. Habilite el cifrado en la VM con el parámetro VolumeType establecido en All. Esto habilitará el cifrado para todos los discos de sistemas operativos y datos, incluidos los volúmenes respaldados por discos NVMe. Para más información, consulte Habilitación del cifrado en una VM Windows existente o en ejecución.

El cifrado se conservará en los discos NVMe en los escenarios siguientes:

• Reinicio de máquina virtual
• Restablecimiento de la imagen del conjunto de escalado de máquinas virtuales
• Cambio de sistema operativo

Se anulará la inicialización de los discos NVMe en los siguientes escenarios:

• Inicio de la VM después de la desasignación
• Recuperación del servicio
• Copia de seguridad

En estos escenarios, los discos NVMe deben inicializarse después de que se inicie la VM. Para habilitar el cifrado en los discos NVMe, ejecute el comando para volver a habilitar Azure Disk Encryption después de inicializar los discos NVMe.

Además de los escenarios que aparecen en la sección Restricciones, no se admite el cifrado de discos NVMe para:

• Máquinas virtuales cifradas con Azure Disk Encryption con Microsoft Entra ID (versión anterior)
• Discos NVMe con espacios de almacenamiento
• Azure Site Recovery de SKU con discos NVMe (consulte Matriz de compatibilidad para la recuperación ante desastres de VM de Azure entre regiones de Azure: Máquinas replicadas: almacenamiento).

Máquinas virtuales IaaS creadas a partir de discos duros virtuales cifrados por el cliente y claves de cifrado

En este escenario, puede crear una máquina virtual a partir de un disco duro virtual previamente cifrado y las claves de cifrado asociadas mediante cmdlets de PowerShell o comandos de la CLI.

Siga las instrucciones que encontrará en Preparación de un disco duro virtual previamente cifrado. Una vez creada la imagen, puede seguir los pasos de la sección siguiente para crear una VM cifrada de Azure.

Cifrado de máquinas virtuales con discos duros virtuales previamente cifrados con Azure PowerShell

Puede habilitar el cifrado de disco en el disco duro virtual cifrado mediante el cmdlet Set-AzVMOSDisk de PowerShell. En el ejemplo siguiente se proporcionan algunos parámetros comunes.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Habilitación del cifrado en un disco de datos recién agregado

También puede agregar un nuevo disco a una máquina virtual Windows con PowerShell o mediante Azure Portal.

Nota

El cifrado del disco de datos recién agregado debe estar habilitado solo a través de PowerShell o la CLI. Actualmente, Azure Portal no admite la habilitación del cifrado en discos nuevos.

Habilitación del cifrado en un disco recién agregado con Azure PowerShell

Si se usa PowerShell para cifrar un nuevo disco para máquinas virtuales Windows, se debe especificar una nueva versión de la secuencia. La versión de secuencia debe ser única. El siguiente script genera un GUID para la versión de secuencia. En algunos casos, un disco de datos recién agregado se podría cifrar automáticamente mediante la extensión Azure Disk Encryption. El cifrado automático suele producirse cuando se reinicia la máquina virtual después de que el nuevo disco se pone en línea. Esto se suele producir porque se especificó "All" para el tipo de volumen cuando el cifrado de disco se ejecutó anteriormente en la máquina virtual. Si el cifrado automático se produce en un disco de datos recién agregado, se recomienda volver a ejecutar el cmdlet Set-AzVmDiskEncryptionExtension con la nueva versión de secuencia. Si el nuevo disco de datos es de cifrado automático y no desea cifrarlo, descifre todas las unidades en primer lugar y, a continuación, vuelva a cifrarlas con una nueva versión de secuencia que especifique el sistema operativo para el tipo de volumen.

• Cifrado de una máquina virtual en ejecución: el siguiente script inicializa las variables y ejecuta el cmdlet Set-AzVMDiskEncryptionExtension. Ya se deben haber satisfecho los requisitos previos de crear el grupo de recursos, la máquina virtual y el almacén de claves. Reemplace MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM y MySecureVault por los valores deseados. Este ejemplo utiliza "All" para el parámetro -VolumeType, que incluye los volúmenes de sistema operativo y de datos. Si solo quiere cifrar el volumen del sistema operativo, use "OS" para el parámetro VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• Cifrado de una máquina virtual en ejecución mediante KEK: Este ejemplo utiliza "All" para el parámetro -VolumeType, que incluye los volúmenes de sistema operativo y de datos. Si solo quiere cifrar el volumen del sistema operativo, use "OS" para el parámetro VolumeType.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Nota

  La sintaxis del valor del parámetro disk-encryption-keyvault es la cadena de identificador completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La sintaxis del valor del parámetro key-encryption-key es el URI completo de la KEK como se muestra en: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Habilitación del cifrado en un disco recién agregado con la CLI de Azure

El comando de la CLI de Azure proporciona automáticamente una nueva versión de secuencia al ejecutarlo para habilitar el cifrado. El ejemplo usa "All" para el parámetro VolumeType. Es posible que deba cambiar el parámetro VolumeType para el sistema operativo si solo está cifrando el disco del sistema operativo. A diferencia de la sintaxis de PowerShell, la CLI no requiere que el usuario especifique ninguna versión de secuencia única cuando se habilita el cifrado. La CLI genera y usa su propio valor de versión de secuencia único automáticamente.

• Cifrado de una máquina virtual en ejecución:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• Cifrado de una máquina virtual en ejecución mediante KEK:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Deshabilitación del cifrado y eliminación de la extensión de cifrado

Puede deshabilitar la extensión de Azure Disk Encryption y puede quitar la extensión de Azure Disk Encryption. Se trata de dos operaciones distintas.

Para quitar ADE, se recomienda deshabilitar primero el cifrado y, luego, quitar la extensión. Si quita la extensión de cifrado sin deshabilitarla, los discos aún estarán cifrados. Si deshabilita el cifrado después de quitar la extensión, esta se volverá a instalar (para realizar la operación de descifrado) y deberá quitarse una segunda vez.

Deshabilitación del cifrado

Puede deshabilitar el cifrado con Azure PowerShell, la CLI de Azure o una plantilla de Resource Manager. Deshabilitar el cifrado no quita la extensión (consulte Eliminación de la extensión de cifrado).

Advertencia

Deshabilitar el cifrado de discos de datos cuando se han cifrado tanto el disco del sistema operativo como los discos de datos puede tener resultados inesperados. Deshabilite del cifrado en todos los discos en su lugar.

Al deshabilitar el cifrado, se iniciará un proceso de BitLocker en segundo plano para descifrar los discos. Este proceso debe tener tiempo suficiente para completarse antes de intentar volver a habilitar el cifrado.

• Deshabilitar el cifrado de disco con Azure PowerShell: para deshabilitar el cifrado, use el cmdlet Disable-AzVMDiskEncryption.

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Deshabilitar el cifrado con la CLI de Azure: para deshabilitar el cifrado, use el comando az vm encryption disable.

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Deshabilitar el cifrado con una plantilla de Resource Manager:

  1. Haga clic en Deploy to Azure (Implementar en Azure) en la plantilla Deshabilitar el cifrado de disco en una máquina virtual Windows en ejecución.
  2. Seleccione la suscripción, el grupo de recursos, la ubicación, la máquina virtual, el tipo de volumen, los términos legales y el contrato.
  3. Haga clic en Comprar para deshabilitar el cifrado de disco en una máquina virtual Windows en ejecución.

Eliminación de la extensión de cifrado

Si quiere descifrar los discos y quitar la extensión de cifrado, tiene que deshabilitar el cifrado antes de quitar la extensión; consulte deshabilitación del cifrado.

Puede quitar la extensión de cifrado mediante Azure PowerShell o la CLI de Azure.

• Deshabilitar el cifrado de disco con Azure PowerShell: para quitar el cifrado, use el cmdlet Remove-AzVMDiskEncryptionExtension.

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Deshabilitar el cifrado con la CLI de Azure: para quitar el cifrado, use el comando az vm extension delete.

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Pasos siguientes

• Introducción a Azure Disk Encryption
• Scripts de ejemplo de Azure Disk Encryption
• Solución de problemas de Azure Disk Encryption